Politique de confidentialité

Le responsable du traitement des données personnelles collectées via l'application et le site RestoPro est la société TAAG, joignable à support@taag.fr.

Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), vous disposez de droits sur vos données personnelles décrits à la section 9.

Nous collectons les catégories de données suivantes :

• Données d'identité : nom, prénom, adresse email, mot de passe (hashé bcrypt, jamais stocké en clair).
• Données métier : informations sur vos restaurants (nom, ville, adresse), fournisseurs, contacts fournisseurs, commandes, articles commandés, inventaires, stocks cibles.
• Documents scannés : images de bons de livraison téléversées pour la reconnaissance OCR, données extraites (produits, quantités, prix, numéros de document).
• Données de connexion : token OAuth2 Gmail (chiffré AES-256 en base), adresse email Gmail associée.
• Données de facturation : identifiant client Stripe (stripeCustomerId), historique des factures émises. Les données de carte bancaire sont gérées exclusivement par Apple (RevenueCat) ou Stripe.
• Données techniques : token push Expo (notifications), token de rafraîchissement JWT (hashé), adresse IP lors des connexions.
• Employés : nom, prénom, email et permissions des comptes employés rattachés à vos restaurants.

Dans le cadre de l'exploitation du service et notamment du support client, les membres autorisés de l'équipe TAAG (administrateurs) peuvent être amenés à accéder aux données suivantes :

• Informations de compte (nom, email, statut abonnement, email vérifié)
• Liste de vos restaurants et employés associés
• Historique de vos commandes et leur statut
• Bons de livraison scannés et données OCR extraites
• Factures émises

Toutes les consultations et modifications effectuées par un administrateur TAAG font l'objet d'un enregistrement automatique dans un journal d'audit sécurisé, incluant : l'identité de l'administrateur, l'action réalisée, la donnée concernée, l'adresse IP et l'horodatage. Ce journal est conservé 12 mois et ne peut être supprimé.

Cet accès est strictement limité aux besoins de support, de sécurité et d'exploitation du service. Les données ne sont jamais consultées à des fins commerciales ou communiquées à des tiers non autorisés.

Nous ne vendons jamais vos données. Elles peuvent être transmises aux sous-traitants suivants :

• Hetzner Online GmbH (Allemagne, UE) — hébergement des serveurs et stockage des fichiers. Certifié ISO 27001.
• Google LLC — Google Vision API pour l'OCR des bons de livraison ; Gmail API pour l'envoi d'emails (sur autorisation explicite). Encadré par les clauses contractuelles types UE.
• Stripe Inc. / Apple Inc. — traitement des paiements et abonnements. Certifiés PCI-DSS.
• Expo (650 Industries) — envoi des notifications push. Aucune donnée métier transmise.

Tous nos sous-traitants traitent les données dans le respect du RGPD via des accords de traitement (DPA) signés.

• Données de compte actif : conservées pendant toute la durée de l'abonnement.
• Après résiliation : 3 ans pour les données de compte (obligation comptable), puis suppression définitive.
• Images de bons de livraison : 12 mois glissants, puis suppression automatique.
• Données OCR extraites : 12 mois.
• Factures : 10 ans (obligation légale comptable française).
• Journal d'audit admin : 12 mois.
• Tokens OAuth Gmail : supprimés immédiatement lors de la révocation de l'accès Gmail dans les paramètres.

Nous appliquons les mesures de sécurité suivantes :

• Chiffrement AES-256 des tokens OAuth Gmail en base de données.
• Mots de passe hashés avec bcrypt (facteur de coût ≥ 12).
• Communications chiffrées TLS/HTTPS sur l'ensemble des échanges.
• Accès administrateur protégé par authentification dédiée, JWT à durée limitée (12h) et limitation du taux de tentatives de connexion.
• Journal d'audit immuable de toutes les actions administratives sur les données.
• Serveurs hébergés en Union Européenne (Hetzner, Allemagne).
• Accès aux données de production restreint au personnel strictement nécessaire.

Le site web RestoPro utilise uniquement des cookies fonctionnels strictement nécessaires à l'authentification (session JWT httpOnly). Aucun cookie publicitaire, de profilage ou de tracking tiers n'est déposé. Aucun outil d'analyse de navigation (Google Analytics, etc.) n'est utilisé.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement ("droit à l'oubli") : demander la suppression de vos données, sauf obligation légale de conservation.
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit à la limitation : suspendre temporairement le traitement de vos données.
• Droit de retrait du consentement : révoquer à tout moment votre consentement (ex. accès Gmail) sans affecter la licéité des traitements antérieurs.

Pour exercer ces droits, contactez-nous à support@taag.fr en précisant votre demande et en joignant une preuve d'identité. Nous répondons dans un délai de 30 jours.

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

Nous nous réservons le droit de modifier cette politique à tout moment pour refléter les évolutions légales, réglementaires ou techniques. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.